VPN技术及应用(精选十篇)
VPN技术及应用 篇1
关键词:虚拟专用网,IPSecVPN,SSLVPN,MPLSVPN
0.引言
随着信息化向纵深发展, 解决信息孤岛、促进信息交流、进行信息资源的共建共享以及最终提高信息系统的应用实效已经成为各部门、各系统信息化发展的一个努力方向。目前, 不少单位都有将移动用户、分支机构以及商业伙伴等连入到内部网络并促进信息应用的现实需求, 在许多情况下, 构建虚拟专用网 (VPN) 是一种即有较高的安全性又不需要高昂的建设成本的最佳方案。
VPN是指通过公用网络建立的一个临时、安全的连接, 是一条穿过公用网络的安全、稳定的隧道。VPN是对单位内部网络的扩展, 它可以帮助远程用户、分支机构、合作伙伴之间建立可信的安全连接, 并保证数据的安全传输。目前, 主流的VPN主要包括IPSec VPN、SSL VPN和MPLS VPN。
IPSec VPN通过在两站点间创建隧道提供直接接入, 实现对整个网络的透明访问。它是在网络层实现数据加密和验证, 可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务。IPsec加密后的数据包仍然是一般的IP数据包, 它是工作在第三层即网络层中。作为网络层的安全标准, IPSec为IP协议提供了一整套的安全机制, IPSec在网络层提供的安全服务对任何IP上层协议及应用进程透明, IPSec VPN是Internet上提供安全保障最通用的方法。
安全套接层 (SSL) 协议是一种在Internet上保证发送信息安全的通用协议, 它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议和TCP/IP协议之间进行数据交换的安全机制, 为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。将SSL与VPN有机结合产生了SSL VPN应用, SSL VPN指的是使用者利用浏览器内建的SSL封包处理功能, 用浏览器连接单位内部SSL VPN服务器, 然后透过网络封包转向的方式, 让使用者可以在远程计算机执行应用程序, 读取单位内部服务器数据。它采用标准的SSL对传输中的数据包进行加密, 从而在应用层保护了数据的安全性。
多协议标签交换 (MPLS) 是一种用于快速数据包交换和路由的体系, 它为网络数据流量提供了目标、路由、转发和交换等能力。它提供了一种方式, 将IP地址映射为简单的具有固定长度的标签, 用于不同的包转发和包交换技术。基于MPLS的VPN就是通过标签交换路径将私有网络的不同分支联结起来, 形成一个统一的网络。MPLS VPN结合了第二层的交换和第三层路由的特点, 第三层的路由在网络的边缘实施, 而MPLS的网络核心则工作在第二层。
这三类VPN即有相同点, 又有差异性。本文首先对这三类VPN进行了较直观的比较;然后以宁波党校VPN建设为例进一步说明和分析了MPLS VPN和SSL VPN的应用情况;最后给出了相应的总结。
1. IPSec VPN、SSL VPN和MPLS VPN的比较
尽管IPSec、SSL和MPLS这三类VPN技术都能够在共享的基础网络设施上, 向用户提供安全的网络连接, 即实现虚拟专用网络的目的。但这三类VPN技术在许多方面还是有差异的, 下面从安全性、网络服务质量 (Qos) 、应用领域和便捷性、扩展性和经济性等五个方面对这三类VPN技术进行比较。
1.1 安全性方面
IPSec VPN是在IP层上实现了加密、认证、访问控制等多种安全技术, 极大地提高了TCP/IP的安全性, 在互联网中建立的安全通道很难被人篡改, 是一种公认的安全的IP协议。但它在用户主机和内部网络部分存在较多的不安全因素, 容易遭受黑客和病毒的入侵并进而影响整个网络。SSL VPN建立的是一条会话层的通道, 是基于应用的。通过SSL VPN可以严格控制用户的远程资源访问。对所有的用户, 不论他们在什么地方上网都能提供细粒度的访问权限控制。借助于SSL VPN技术, 对应用程序和网络的访问控制可以根据需要由一般到特殊进行设置。MPLS VPN采用路由隔离、地址隔离等手段提供抗攻击和欺骗的方法, 但传输的数据是明文, 存在较大的安全漏洞, MPLS VPN具有一般的安全性能。
1.2 QoS方面
MPLS VPN是建立在骨干网之上, 在网络服务质量方面具有最好的效果, MPLS可以指定数据包传送的先后顺序, 使用标记交换, 网络路由器只需要判别标记后即可进行转送处理, 在根本程度上改变了传统IP网络逐跳路由、IGP路由汇聚、路由表过长、尽力传送等问题。MPLS VPN具有优先权和QoS保证, MPLS标签使服务提供商可以区分出流量, 准许它们具有不同的优先权。IPSec VPN保证的是端点到端点的网络传输通道的安全, 端点处的加密和解密需要另外的硬件和软件处理能力, 而这将增加用户和性能的开销。由于协议需要在报前添加自己的数据报, 如果新生成的数据报的长度超过网络最大可传输单元的长度, 该数据报将被分割成多个数据报, 增加不必要的网络延迟时间。另外, 当传输流被加密以后, 由于标示QoS的比特不能为网络路由器所读取, 所以QoS很难得到保证, 网络就不能在应用层区分业务流并分配不同的业务水平。SSL VPN同IPSec类似, 一方面, 传输中经过SSL加密隧道与身份认证会降低传输效率, 另一方面SSL VPN也是承载在公众互联网上, 因此QoS也无法得到保证。
1.3 应用领域和便捷性方面
IPSec VPN需要安装客户端才能使用, IPSec VPN的连接性会受到网络地址转换的影响, 同时需要先完成客户端配置才能建立通信信道, 因此当用户较多时, 用户的培训和软件的安装维护都比较麻烦。IPSec位于协议栈的网络层, IPSec VPN连接后就如同内网的用户, 可以使用所有基于IP协议的服务, 因此应用领域较广。SSL VPN则直接使用WEB浏览器, 无需安装客户端软件, 使用和维护都很方便。但SSL VPN只能应用于基于WEB的应用系统、文件共享和E-mail等。MPLS VPN配置完成后, 内网用户如同在同一网络中, 无需安装客户端软件, 可以说对用户的要求为零。MPLS VPN可以实现所有基于IP的应用, 同时由于它具有很好的QoS, 可以在同一网络平台中运行数据、语音、视频等远程通信服务。
1.4 扩展性方面
MPLS VPN提供商可简单地将MPLS VPN配置成全网状结构, 企业只需将用户端路由器 (CE) 与运营商核心路由器 (PE) 以各种方式相连, CE上不需做复杂配置, 也不需要很高的硬件配置。当有新的CE加入时, 只需在CE和PE上作简单的配置即可。同时, 由于标签代替了地址, 用户可以继续使用原来的专用地址, 不需要做改动。IPSec VPN技术本身的特性决定了它通常不能支持复杂的网络, 这是因为它们需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN在部署时, 要考虑全网的拓扑结构, 如果增添新的设备, 往往要改变网络结构, 从而造成IPSec VPN的可扩展性比较差。SSL VPN是为移动性而设计的, 它基于Web进行访问, 使许多设备可以通过支持SSL协议的标准浏览器访问企业内部网络, 一些非传统设备也可以随时随地访问接入, 扩展性很好。
1.5 经济性方面
SSL VPN有最好的经济性, 这是因为SSL VPN只需要中心节点放置一台硬件设备, 就可以实现所有用户的远程安全访问控制。IPSec VPN在每增加一个需要访问的分支, 就需要添加一个硬件设备。对一个成长型的单位来说, 随着IT建设规模的扩大, 要不断购买新的设备来满足需要。MPLS VPN相比租用专线尽管可以较大地节省成本, 但需要一次性工程费、MPLS资源费等。因此, 其综合成本往往是高于IPSec VPN和SSL VPN。
根据以上分析, IPSec VPN、SSL VPN和MPLS VPN这三类VPN各具特色, 互有长短, 因此, 在实际应用中需求根据实际的需求分析选择最佳的VPN方式。
2. VPN的应用与分析
本节将以宁波党校VPN建设为例, 介绍一个通过应用MPLS VPN和SSL VPN实现虚拟专网互联互通的方案, 并对结合MPLS VPN和SSL VPN的应用进行了分析。
宁波党校通过浙江省党校系统MPLS VPN和自建的SSL VPN实现了全市党校系统所有教师和其他授权用户对相关信息资源的共享应用。其中, 浙江省党校系统VPN是依托浙江省电子政务外网平台并利用MPLS VPN技术构建的一个虚拟专网, 用来实现省市县三级共84家党校的互联互通。其网络拓扑结构如图1所示:
该MPLS VPN具有网络服务质量好、用户透明访问等优点, 另外, 由于借助了省电子政务外网平台以及许多党校原来已有路由器、防火墙等接入设备, 因此新投入的建设成本较少。通过该MPLS VPN, 各级党校教师可在单位电脑实现对全省党校共享信息资源和相关应用系统的访问, 大大促进了全省党校系统信息资源的共建共享, 推动了全省党校系统信息化的发展。
但在实际应用中, 全省党校系统MPLS VPN并不能满足各市级和县级党校教师信息化应用的所有需求。第一, 移动用户不能访问到共享信息资源;第二, 各县 (市) 区党校教师不能访问由市级党校订制的相关资源如中国期刊网等, 这些资源的访问一般是通过市级党校出口IP进行认证。因此, 宁波党校为进一步促进信息资源的共享又建设了SSL VPN, 其网络拓扑如图2所示。其中, “共享资源A”是我校对我市各县 (市) 区党校开放的共享资源;“共享资源B”是我校向全省党校系统共享的资源;“共享资源C”是省委党校共享的信息资源;“共享资源D”是我校订制的需IP认证的各类商业信息资源库。我们对宁波8个县 (市) 区党校教师和部分领导干部进行了授权, 这样通过MPLSVPN可实现固定用户对“共享资源B”和“共享资源C”的访问, 而通过SSL VPN进一步实现了授权移动用户对包括“共享资源A”和“共享资源D”在内的四类共享信息资源的访问。
3. 总结
本文对三种主流的VPN技术进行了介绍和比较, 并结合宁波党校VPN建设情况进行了进一步的分析。各种VPN互有优缺点, 用户需要根据实际需求选择最合适的VPN技术。总体而言, IPSec VPN可以为所有的应用提供安全访问, 适合于作为网关对网关VPN连接的解决方案;SSL VPN主要面向为大量用户提供一种基于Web方式的远程安全接入方案, 由于目前越来越多的应用是基于Web的方式, 使得SSL VPN应用也越来越广泛;而MPLS VPN在支持QoS方面具有天然的优势, 适合于网络服务质量要求较高的情况。
参考文献
[1]王达, 等.虚拟专用网 (VPN) 精解[M].北京:清华大学出版社, 2004.
[2]易光华, 傅光轩, 周锦顺.MPLS VPN、IPSec VPN和SSL VPN技术的研究与比较[J].贵州科学, 2007, 25:34-38.
[3]朱华.三种主流VPN技术的比较与分析[J].计算机与数字工程, 2009, 37 (12) :108-111.
VPN技术及应用 篇2
MPLS VPN技术在综合监控专网中的应用
背景 高速公路路网综合监控系统是未来几年陕西省公路系统信息化建设的重点工作,是陕西省交通行业专网在高速公路路网系统中的有机延伸.陕西省高速公路路网监控系统的网络系统平台不仅需要对监控网络系统提供必要的支持,还必须能够与陕西省交通行业专网的基础构架实现无缝融合,使交通专网中的各项子系统可以平滑地延伸到高速公路系统中、充分利用网络系统平台的`各项资源,既能实现业务系统的有效隔离,又能实现管理维护的一致性.
作 者:张姣姣 雷金鹏 作者单位:西安公路研究院 刊 名:中国交通信息产业 英文刊名:CHINA ITS JOURNAL 年,卷(期):2010 “”(1) 分类号:U4 关键词:浅谈VPN技术在企业中的应用 篇3
【摘要】随着信息时代的来临,企业的发展也日益呈现出结构分布化、产业多元化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,网络安全逐渐成为一个潜在的巨大问题,网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来看,VPN技术无疑是一种不错的选择。
【关键词】VPN 网络 实现技术
【中图分类号】G718 【文献标识码】A 【文章编号】1672-5158(2013)01—0180-02
1 前言
随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。VPN集灵活性、安全性、经济性以及扩展性于一身,可充分满足分支机构、移动办公安全通信的需求。
2 VPN技术概述
VPN英文全称是“Virtual Private Network”(虚拟专用网络”)。VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。
2.1 VPN的功能
VPN至少应能提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。
2.2 VPN的分类
VPN既是一种组网技术,又是一种网络安全技术。按照不同的方法主要有以下几种划分方式。
(1)按实现技术划分,基于隧道的VPN、基于虚电路的VPN和MPLSVPN
(2)应用范围划分,远程接入VPN(Accesss VPN)、Intranet VPN和Extranet VPN等3种应用模式。
(3)远程接入VPN用于实现移动用户或远程办公室安全访问企业网络;Intranet VPN用于组建跨地区的企业内部互联网络;Extranet VPN用于企业与客户、合作伙伴之间建立互联网络。
(4)按隧道协议划分,VPN可划分为第2层隧道协议和第3层隧道协议。PPTP、L2P和L2TP都属于第2层隧道协议,IPSec属于第3层隧道协议,MPLS跨越第2层和第3层。VPN的实现往往将第2层和第3层协议配合使用,如L2TP/IPSec。当然,还可根据具体的协议来进一步划分VPN类型,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。
2.3 VPN的特点
在实际应用中,一个高效、成功的VPN应具备以下几个特点:
(1)安全保障
VPN应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
(2)服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性
从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
2.4 VPN的技术解决方案
VPN有三种解决方案,用户可以根据自己的情况进行选择。这三种解决方案分别是:远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
(1)如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用AccessVPN。
AccessVPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。
(2)如果要进行企业内部各分支机构的互联,使用IntranetVPN是很好的方式。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。
(3)如果是提供B2B之间的安全访问服务,则可以考虑EXtranetVPN。
随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息
服务,又可以保证自身的内部网络的安全。
3 结语
在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,QoS更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。可以想象,当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。同时,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。
参考文献
[1]秦柯.Cisco IPSec VPN实战指南人民邮电出版社,2012
[2]王占京.VPN网络技术与业务应用国防工业出版社2012
基于SSL协议的VPN技术及应用 篇4
随着信息化进程的不断加快, 企业对远程办公的需求越来越高。在目前网络安全形势日趋严峻的情况下, 如何在确保安全的情况下尽可能提高工作效率, 成为企业极为关注的问题, 而VPN (虚拟专用网络) 技术正是解决这个问题的最佳方式之一。VPN技术是以IP隧道实现网络互联, 通过在开放的公共网络中建立专用网络, 数据通过安全的“加密通道”在公共网络中传播。传统的基于IPSec的VPN实施成本和管理成本高, 使用复杂且互操作性低, 在应用上受到一定限制。而另一种基于SSL的VPN因其易用性和可控性更好, 得到了越来越广泛的应用。
1 安全隧道技术
安全隧道技术是VPN的核心技术, 指通过将待传输的原始信息加密和封装协议处理后嵌套入另一种协议的数据包送入网络。隧道是由隧道协议实现的, 分为第2、3、4层隧道协议, 其本质区别是数据包是封装在哪种数据包中在隧道中传输的。第二层 (数据链路层) 隧道协议有L2F、PPTP、L2TP等, 它们先把各种网络协议封装进PPP中, 再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第三层 (网络层) 隧道协议有GRE、IPSec等, 它们把各种网络协议直接装入隧道协议中, 形成的包依靠第三层协议进行传输。第四层 (高层) 隧道协议最著名的是SOCKSv5和SSL, SOCKSv5是NEC开发的建立在TCP层上的安全协议, 更容易为与特定TCP端口相连的应用建立特定的隧道;SSL是一种在Web服务协议 (HTTP) 和TCP/IP之间提供数据连接安全性的协议, 它为TCP/IP连接提供数据加密、服务器身份验证和消息完整性验证。
2 基于SSL协议的VPN
2.1 SSL协议简介
SSL (安全套接层协议) 是由Netscape公司于1994年提出的一种构建在传输层协议之上的保密通信协议, 是一种在两台机器之间提供安全通道的协议。它具有保护传输数据、识别通信机器的功能。
如图1所示, 在TCP/IP四层协议族中, SSL协议位于传输层与应用层之间, 高层的应用层协议 (如HTTP、FTP、TELNET) 能透明地建立于SSL协议之上。
SSL是一个分层协议, 它由一个记录层以及记录层上承载的不同消息类型组成。记录协议用来处理由高层获得的数据, 主要是握手消息、报警消息、改变密码规格消息和应用数据消息, 所有这些要传输的数据都被封装在记录中。握手协议完成对服务器和客户端 (可选) 的认证并确立用于保护数据传输的加密密钥。报警协议根据警告内容的严重性产生不同的报警信息, 如果是致命级别的警告, 当前连接会立即中断, 并清除包括会话标识、密钥等在内的所有状态参数;如果是一般警告, 则发出警示信息, 双方可以缓存信息以恢复该连接。改变密码规格协议用来表示密码策略的变化, 它只包含一条信息, 内容为一个字节, 其值为1, 在握手完成前双方都要发送这个消息, 以通知对方其后的记录将用刚刚协商的密码规格及相关联的密钥来保护。
2.2 SSL VPN通信过程
如图2所示, 基于SSL协议的VPN上两个通信实体的通信过程大致如下:
(1) 客户端连接至服务器, 要求进行身份验证;
(2) 服务器通过发送数字证书证明其身份, 通过检查有效日期并确认证书包含可信任证书颁发机构 (CA) 的数字签名来验证证书的有效性;
(3) 服务器发出一个请求, 对客户端的证书进行验证 (可选) ;
(4) 确定身份后, 双方协商加密算法及用于完整性检查的散列函数, 通常由客户端提供它支持的所有算法列表, 然后由服务器选择最强大的加密算法;
(5) 客户端和服务器协商会话密钥;
(6) 客户端和服务器分别使用协商好的加密算法和密钥, 对要发送的数据进行加密, 对接收的数据进行解密, 从而实现了在客户端和服务器之间利用加密信道进行通信的目的。
2.3 SSL VPN的实际应用
SSL VPN在实际应用中就是要依据安全控制策略为分散移动用户提供从外网访问企业内网资源的安全访问通道。
基于SSL的VPN方案和产品有两种:一种是代理型, 通过代理技术来增强SSL协议记录层的隧道功能, 其特点是基于代理技术实现和“无客户端”的运行模式, 目前市面上大部分基于SSL的VPN产品都属于这种类型;另一种是隧道型, 基于虚拟网卡技术实现, 需要通信双方安装VPN软件, 通过虚拟网卡建立的隧道进行安全数据传输, 这类VPN可以支持物理网络中所有网络应用, 典型代表是OpenVPN。
在实际使用中, SSL VPN主要实现以下功能:
(1) 通过浏览器访问内网提供的Web服务、FTP服务、邮件服务等。对于这些应用, 客户不用下载控件和做任何设置;
(2) 通过浏览器下载网页控件, 用户能访问内网的C/S应用, 包括TCP应用和UDP应用;
(3) 实现网络扩展, 提供网络层及网络层以上的功能, 如ping命令。
2.4 SSL VPN安全
服务端安全性分析:
(1) SSL VPN服务器的安全:安装在防火墙后面能避免大多数网络攻击;对用户的访问记入用户日志, 便于管理员对用户的审计;对管理员的操作记入管理员日志, 便于公司内部管理审计和SSL VPN系统自身的安全。
(2) 数据传输的安全性:相比IPSec VPN, 不会从远程PC上感染病毒、蠕虫等;可以阻止中间人攻击, 且没有冲突;数据只通过443端口传输, 安全性较高。
(3) 内网资源的安全性:针对Web服务器攻击, IPSec VPN直接暴露于Internet就有可能被利用, 而应用SSL VPN, 威胁可以被减轻, 因为客户端首先要通过SSL VPN设备认证;针对暴露内部URL, IPSec VPN应用中, 一旦认证通过, 内部URL将是开放暴露的, 而SSL VPN对非信任用户将不开放内部URL。
客户端安全性分析:
(1) 浏览器本身就是客户端, 支持高强度密码, 支持双因素身份认证, 使安全性提高;通信过程中, 首先进行SSL VPN设备认证, 再进行用户身份认证;从可信任的SSL VPN服务器下载Java控件, 且传输过程加密, 不会给客户带来任何威胁。
(2) 客户端的安全缺陷:用户完成会话后, 敏感数据可能被保留在公共计算机上;用户下线后用户的信任状态保留在公网计算机上;存储在个人主机或虚拟机上的蠕虫和病毒可能经由SSL VPN隧道在合作的公网上传播;内部网络信息可能被泄露。
3 结语
SSL VPN作为一种安全的接入技术, 其应用范围越来越广, 功能日趋完善, 安全性也越来越高。无疑, SSL VPN是实现企业远程办公的有效手段, 具有重要的现实意义和推广价值。
参考文献
[1]陈晓梅.SSL VPN在中小企业信息管理中的应用.计算机安全.2009.
[2]童冰, 黄金华, 卫寒梅.基于SSL的VPN的安全性分析.计算机与信息技术.2008.
VPN技术及应用 篇5
【关键词】 信息管理;VPN;隧道协议
引言
新特级资质标准对施工企业提出了用信息化手段管理企业、管控所建工程的新要求。施工企业一般是以总部为基地,发散状设置分支机构,这种结构对企业建立内部与分支机构、项目部之间快速、安全、稳定的网络环境,实现企业信息化管理提出了更高的要求。VPN技术,基于广泛分布的Internet构建企业虚拟专用广域网络,具有可靠性、稳定性、安全性较高,建立企业级专用广域网周期短,施工难度小,投资较小的优势,是一种经济可行的解决方案。
1、VPN技术简介
VPN即虚拟专用网络,它是依靠ISP和其他NSP在公网中建立传输经加密和封装后私有数据的通信网络技术。它能够提供Internet远程访问,将企业分支机构、远程用户与企业网连接起来,构成一个扩展的公司企业网,它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
2、VPN主要特性
1)可扩充性和灵活性:VPN支持通过Intranet和Extranet的任何类型的数据流,方便增加新节点,支持多种类型传输媒介,可以满足同时传输语音、图像和数据等对高质量传输以及带宽增加的需求。
2)增强的安全性:目前VPN网络连接主要采用隧道技术、加密技术、密钥管理技术、身份认证技术这四项技术来保证数据通信安全。
3)低成本:VPN是利用Internet等公众网络建立连接,连接也是临时性的,因此可以节省巨大专线租赁费用和建设费用。
3、基于Internet的VPN网络架构
企业Internet环境下的VPN网络可以建立如下拓扑结构:
1)依据公司规模,设在总部的路由器可选择支持3个或更多的WAN口,多个LAN口;WAN口通过100Mbps宽带DDN方式接入互联网,必要时可采用两条或多条ADSL电话线作为冗余、备份接入线路。
2)各地分支机构路由器至少具有两个网络接口,一个用于内网,一个用于外网;外网通过2MDDN专线或光纤方式接入互联网。分支机构可以选择不同网络营运商的线路,VPN联机建议采用IPSec协议,以保证联机的安全性。
3)公司重要领导或关键业务人员,出差时可通过移动宽带方式如3G卡接入移动网络,再连接至Internet。
公司总部具有动态的IP地址,各地分支机构采用固定或虚拟IP地址、以多种接入方式接入Internet,通过VPN网关在Internet 上构建起企业内部VPN。
4、VPN网络设置
VPN网络构建需在windows操作系统下进行相应设置。
1)VPN服务器配置。找到“管理工具”→“路由和远程访问”,鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”点下一步,进入服务选择窗口;标准VPN配置需要两块网卡(分别对应内网和外网),外网使用的是Internet拨号上网,因此在弹出的窗口中选择“VPN”;下一步连接到Internet的网络接口,此时会看到服务器上配置的两块网卡及其IP地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的IP地址,新建一个指定的起始IP地址和结束IP地址。最后,“设置此服务器与RADIUS一起工作选否。
2)VPN客户端配置。点“网上邻居”图标右键选属性,选择“创建一个新连接”点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络” → “虚拟专用网络连接”;接输入新连接名字后点下一步;在窗口里,输入VPN服务端地址,可以是固定IP,或是服务器域名;点下一步依次完成客户端设置。在连接的登录窗口中输入服务器所指定的用户名和密码,即可连接上VPN服务器端。
3)赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”→“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”, 用户即有了拨入VPN服务器的权限。
5、关键技术
隧道技术是VPN的基本技术,类似于点对点连接技术,它在公网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中,靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。
6、系统安全性策略
由于企业内部重要信息通过开放的公网进行数据传输,因此系统的安全性尤为重要。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现。
1)防火墙:主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成,具体应用可以由公司根据实际情况统一部署。此方案中为总部选择了具有高级别防火墙功能的路由器。
2)访问权限控制:对系统管理员及企业内部人员按照职责、级别、时间设置操作权限,让不同级别的人员只能看到并处理自己权限范围内的文件及工作,保证了办公的保密性及整个系统使用的安全性。
3)数据库备份:为了避免数据意外丢失,保证数据安全,系統要具有重要数据的备份功能。
7、小结
施工企业信息化管理的实现离不开互联网络的应用,在网络远程访问中,VPN技术为信息集成与优化提供了一个很好的解决方案,为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献
[1]闫晓弟,耶健.基于VPN的电子资源远程访问系统的研究与实现.情报杂志.2009(8).
[2]王桐.IP VPN及Internet VPN分类研究.华中师范大学学报(自然科学版).2009(3).
(作者单位:中铁二十二局集团第六工程有限公司)
VPN技术及应用 篇6
MPLS VPN技术目前发展迅速,初期在亚洲,2002年比2001年增长了357%,达到一定的规模后开始保持每年大约27%的增长率。目前,MPLS VPN已经在银行、保险、运输、大型制造和连锁企业提供了端到端高质量、安全可靠的网络平台和服务。
1 VPN技术概述
虚拟专用网(VPN:Virtual Private Network)指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2 MPLS VPN技术介绍
MPLS VPN是基于MPLS(Multiprotocol Label Switching,多协议标记交换)技术的IP VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
2.1 MPLS的基本原理
MPLS网络包含一些基本的元素。在网络边缘的节点就称作标记边缘路由器(LER:Label Edge Router),而网络的核心节点就称作标记交换路由器(LSR:Label Switching Router)。LER节点在网络中提供高速交换功能。在MPLS节点之间的路径就叫做标记交换路径(LSP:Label Switched Path)。一条LSP可以看作是一条贯穿网络的隧道。
2.2 MPLS VPN的实现原理
基于BGP的MPLS VPN中的路由器有三种:P路由器、PE路由器和CE路由器。
CE路由器(CE:Customer Edge Device)为客户边缘路由器,由客户负责维护。客户边缘(CE)设备允许客户通过连接一台或多台供应商边缘(PE)路由器的一条数据链路接入服务供应商网络。CE设备是一台IP路由器,它与直接连接的PE路由器建立邻接关系。在建立邻接后,CE路由器把站点的本地VPN路由广播到PE路由器,并从PE路由器上学习远程VPN路由。通常,PE-CE之间通过静态路由交换路由信息,也可通过RIP、OSPF、BGP、IS-IS等协议,静态路由方式可以减少因CE设备管理不善等原因造成的对骨干网BGP路由的震荡,从而提供骨干网的稳定性。
PE路由器(PE:Provider Edge Router)为运营商边界路由器,存放着VRF表和全局路由表,VRF中存放着VPN路由,全局路由表中存放着运营商的域内路由。
P路由器(Prouter:Provider Router)为运营商主干路由器,负责VPN分组外层标签的交换。供应商路由器是没有连接CE设备的供应商网络中的任何路由器。在PE路由器间转发VPN数据流量时,供应商路由器作为MPLS连接LSR使用。由于是在采用两层标记堆栈的MPLS骨干中转发流量,因此供应商路由器只需维护到供应商PE路由器的路由,而不需维护每个客户站点专用的VPN路由信息。
3 MPLS VPN优势
3.1 安全性高
采用MPLS作为通道机制实现透明报文传输,MPLS的标签交换路径(LSP)具有与FR和ATM VC相类似的安全性;另外,由于MPLS VPN实现对用户透明,用户还可以采用已有的手段,如设置防火墙,采用数据安全加密等方法,进一步提高安全性。
3.2 可扩展性强
网络中可以容纳的VPN数目大,同一VPN中的节点容易扩充,解决了各节点全网状互联的N平方问题。
3.3 接入便利
MPLS VPN提供多种接入方式,不必对原有接入设备做任何改变,保护了企业的现有网络投资。
3.4 维护成本低
网络的使用与维护变得简单,便于管理和扩展,降低了网络运维与管理的人力、物力成本运。
4 铁路系统应用分析
在铁路系统中,以往铁道部、铁路局、各业务部门等组织机构之间的组网,较多是以2M数字通道(E1)的方式进行,这种方式适合于数据敏感、较少节点之间互联、带宽要求不高的环境,但随着铁路系统各组织机构之间信息需求和网络节点数量逐渐增多,此组网方式在拓展线路带宽、增加网络节点上就不具备良好的扩展能力,如果要实现各节点之间全互联则线路接入费用也随N平方的问题成倍增加,接入设备也需要作大量调整。
铁路系统应用MPLS VPN技术组网时,主要考虑有以下因素:
4.1 安全性
对于较为敏感、安全级别高的应用系统,在采用MPLS VPN隔离系统基础上,可以在各节点之间进一步通过增加防火墙建立IPsec数据加密机制,从而实现通道隔离和IPsec数据加密的双重保护。
4.2 接入方式
节点之间基于对等模式的数据互访,需要在互访的节点使用LAN、光纤等对称带宽的线路接入MPLS VPN网络,带宽大小根据业务需求而定。
节点之间基于C/S模式的数据互访,需要根据其应用特点在服务节点采用高带宽的线路接入,接入方式可以通常采用LAN、光纤等。在客户端也可以同样的接入方式,但出于对成本的降低和带宽需求不高考虑,可以采用ADSL这种灵活的非对称带宽线路方式接入。
4.3 可扩展性
对原有业务的网络节点增加,只需在相应节点增加接入线路即可;新增业务的网络节点只需要申请新的VPN业务,并设立各节点接入。原有业务和新增业务共同存在于运营商网络中,但互相隔离。
5 结束语
以MPLS VPN为基础构架,结合其它各种VPN技术构建铁路系统的骨干网络,必将会加速推动铁路信息化建设,满足铁路系统日益增长的信息需求,同时为铁路系统带来安全、高带宽、高扩展性和较低维护费用的网络。
摘要:主要介绍MPLSVPN网络系统组成及关键技术,并对MPLSVPN技术在铁路通信中的应用加以探讨。
关键词:MPLS/VPN,MPLS,铁路
参考文献
VPN技术及部署模型分析 篇7
关键词:VPN,安全协议,关键技术,部署模型
0 前言
VPN技术实现了内部网信息在公众信息网中的传输,就好像在广域网中为用户建立了一条专线网。VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。所以VPN对于每一个用户来说,也是“专用”的,这一点是VPN给用户带来的最为明显的变化。
1 VPN概述
1.1 VPN的概念
VPN(Virtual Private Network)即虚拟专用网,是在Internet中建立一条虚拟的专用通道,让分布在不同地点的网络用户能在一个安全、稳定的专用网络通道中相互传递数据信息。V P N采用认证、访问控制、机密性、数据完整性等技术保障数据通过安全的“加密管道”在Internet中传播。[1]
1.2 VPN的类型
根据V P N所起的作用,可以将V P N分为三类:[1,2,3]
1.企业内部虚拟网(Intranet VPN):通过公用网络将总部网络与各个分部网络安全互联,是传统的专线网或其他企业网的扩展或替代形式。
2.企业扩展虚拟网(Extranet VPN):将具有合作关系的几个内联网通过V P N互联,形成一个大的联网区域,使之可共享访问的虚拟专用网络。
3.远程访问虚拟网(Access VPN):实现出差流动员工、远程办公人员和远程小办公室对内部资源的访问。
1.3 VPN特点[2,4,5]
(1)数据加密和身份认证;(2)提供不同的访问控制;(3)用户有不同的访问权限;(4)网络具有很高的安全性;(5)有利益于扩展企业与合作伙伴的关系;(6)可支持新兴多媒体业务;
2 VPN关键技术
2.1 隧道技术
隧道技术(Tunneling)是一种在公用网络之间传递数据的方式[6]。隧道技术是VPN的核心。[7]不同协议的数据帧或包都可以使用隧道传递。隧道是由隧道协议形成的,常用的有第2、3层隧道协议。隧道协议把其它协议的数据帧或包重新封装之后,再由隧道发送。
2.2 密码技术
V P N技术的安全保障主要依靠密码技术实现。其加密算法包括对称加密算法、不对称加密算法两种。对称加密算法是通信双方共享一个密钥,发送方使用该密钥将明文加密为密文,接收方使用相同的密钥将密文解密为明文。不对称加密算法是通信双方各使用一个不同的密钥,一个是只有发送方知道的密钥,另一个则是与之对应的公开密钥。
2.3 身份鉴别和认证技术
V P N基于公共网络进行通信的特点使得对用户身份的鉴别显得极为重要。身份鉴别和认证技术可以辨别数据的真伪,这对于网络数据是尤为重要的。认证协议一般采取的是消息摘要算法,它主要是采用H A S H函数将一段较长的报文通过H A S H函数变换,映射为一段较短的报文摘要。
2.4 QoS技术
通过加密技术及隧道技术,就能建立一个具备安全性、互操作性的V P N。但建立的该VPN是不稳定的,在管理上还不能满足企业的要求,这就需要加入QoS技术。实行QoS技术应该在主机网络中,即VPN所建立的隧道,这样才能建立一条性能优越的隧道。[8]
3 VPN解决方案[9]
3.1 VPN部署模型
部署V P N首先要选定一个V P N隧道终端设备,选择的这个设备主要由V P N隧道端点位置和用于隧道端点设备的功能来决定。
3.1.1 位于边界路由器的V P N终端
位于边界路由器的V P N终端所具有的优点是能够确保V P N流量遵循外部防火墙的策略后才能够达到内部网络,它比较适合外部连接部署。它的缺点是随着业务合作伙伴的增加,路由器上的负荷也随着加解密进出V P N隧道数据包的增加而增加。
如图1所示。
3.1.2 位于企业防火墙的V P N终端
位于企业防火墙的V P N终端能够允许来自不同分支机构对公司内部网络的访问,在这种模型下,远程用户可以直接访问内部网络,而不用进行第二次认证。它的缺点是随着公司分支机构的增加,防火墙的负荷也随着增加。
如图2所示。
3.1.3 位于专用设备的VPN终端
位于专用设备的V P N终端能够允许从分支机构网络直接访问公司内部核心网络,远程用户可以访问提供的所有内部服务。它的缺点是随着更多的公司分支机构接入内部网络,防火墙的负荷也会因为每个V P N需要加密数量的增加而增加。
如图3所示。
3.2 VPN拓扑模型
3.2.1 星状拓扑模型
在星型拓扑结构中,远程分支机构可以安全的与公司总部通信,它的缺点是分支机构间不能通信。星型拓扑结构提供的固有优点是新站点的增加比较容易。
如图4所示。
3.2.2 网状拓扑模型
在网状拓扑模型中,可以全网状或部分网状来部署VPN网络。它的优点是有大量任意目的地的替代路径,缺点有大量的冗余路径。
如图5所示。
3.2.3 中心轮廓拓扑模型
中心轮廓拓扑模型从设计上来,很类似网状拓扑模型,但其最大的不同点是解决了各分支机构间不能通信的缺点。在这个模型中,公司网络做外一个传输节点,它让所有的流量从网络的一个分支结构传输到另一个传输节点。它的缺点是使得整个网络的安全风险加大。
如图6所示。
3.2.4 远程访问拓扑模型
远程访问拓扑模型是建立在中心轮廓拓扑模型基础之上的,它可以为远程用户,移动办公用户等没有静态IP地址的用户提供连接从而保证它们之间的通信。
如图7所示。
4 结语
VPN技术的发展,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的链接来传输私有数据。V P N通过隧道技术、数据加密技术以及QoS机制,使得企业不仅极大的降低了企业建设网络的成本,同时也大大提高了网络的安全性,提高了企业运营效率。在网络时代,企业发展取决于是否最大限度地利用网络。V P N将是企业现在乃至未来最佳的选择[10]。
参考文献
[1]袁德明.乔月圆.计算机网络安全[M].电子工业出版社.2007.266-282.
[2]谢怀军.VPN技术透视分析[M].中国金融电脑.2000.10.
[3][美]C arlton R.D avis.IP Sec VPN的安全实施[M].清华大学出版社.2002.
[4]郝辉,钱华林.VPN及其隧道技术研究[J].微电子学与计算机.2004.21(11):47~49.
[5]周喜等.VPN现状与在网区中的部署分析[J].计算机应用研究.2003.2.
[6]陈兴刚,孟传良.VPN及其隧道技术研究[J].电脑知识与技术.2008,3(5):879-880.
[7]彭湘凯.VPN及其核心技术[J].成都大学学报(自然科学版),2001,20(1):12~15.
[8]刘建伟,王育民等.网络安全——技术与实践[M].北京.清华大学出版社.2005.472.
[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell编著.谢琳,赵俐等译.防火墙策略与VPN配置[M].中国水利水电出版社.2008.136~170.
VPN技术及应用 篇8
1 现有VPN组网协议及其比较
现有的VPN组网协议按隧道所工作的层次可分为三大类:二层隧道协议、三层隧道协议、传输层以上隧道协议。
其中,二层协议主要有即IP、LZTP和MPLS三种;三层协议有IPSec、GRE和IPinIP等;传输层及其以上层隧道协议主要有SSL协议和SOCKS等。其中IPSec和SSL协议是目前应用相对广泛的协议。下面分别对这几类协议从组网功能、安全功能两方面进行讨论。
1.1 PPTP和LZTP协议
即TP[(point-to-PointTunnelingProtocol)协议的作用是将本地的PPP会话延伸到远程访问服务器。PPTP将原来NAS的功能分解为PPTP访问控制器PAC(PPTPAeeessConeentrator)和PPTP网络服务器PNS(PPTPNetworkServer)。PPTPVPN采用客户/服务器访问模式,适合PCtoLAN组网模式,如图l所示。
PPTP客户首先采用拨号方式接入PAC,建立连接,然后进行二次拨号建立PAC与PNS间的连接,该连接为PPTP隧道连接。PPTP只支持IP作为传输协议,协议本身不提供安全机制,身份认证和虚拟地址的分配均由即P协议完成,通信时P即数据包首先由P即协议本身加密,再由GRE协议封装,传输到PNS处进行解封。LZTPVPN由LZTP访问集中器(LZTPAeeessConeentrator,LAC)和LZTP网络服务器(LZTPNetworkServer,LNS)组成。拨号客户端首先与本地拨号网络的LAC建立即P连接,由LAC将客户端的P即数据帧进行LZTP封装传送到LNS。与即TP相比,LZTP能够支持多协议,可以在IP、IPX、Appletalk等网络上传输,并支持任意的广域网技术如帧中继、ATM以及以太网技术等。安全性方面与PPTP相同,LZTP协议本身不提供安全性机制,它的安全保护由P即协议提供。图1为传统PPTP/LZTPVPN组网图。从组网功能上,这两个协议具有以下优点:
1)系统扩展的灵活性好。当有新客户端加入时只用建立与网络服务器的隧道,系统扩展时只需要修改新设备与网络服务器的设置,对其它客户端没有影响。
2)适合于拨号网络。这两种协议都采用非对称的客户/服务器访问模式,支持PCtoLAN的组网模式,适合拨号网络环境的VPN应用。
3)具有良好的动态特性。该协议适用于拨号网络环境,支持以动态地址接入,支持设备动态登录和退出VPN网络。
但是,这两个协议在组网方面还存在如下不足:第一。大规模应用时可扩展性不足。PPTP和LZTP提供的虚拟P即连接会贯穿整个隧道,并终止于PNS/LNS或内网RAS服务器上,所以需要维护大量的P即会话连接,加重了系统的负荷,在一定程度上影响了系统在大规模应用时的可扩展性。第二,有限的VPN类型支持。这两个协议不支持LANtoLAN路由VPN类型,对于目前的大量的LANtoLAN组网环境具有局限性。第三安全性不足。这两个协议本身不具有安全机制,仅依靠P即协议来提供机密性、完整性以及身份认证服务,而一般P即的实施没有采用加密措施,因此采用这两个协议构建的VPN可以说没有安全性保证。目前,LZTP可以通过与IPSec相结合来解决安全性问题。总之,PPTP和LZTP只是解决了有限的VPN组网问题,并未考虑VPN的安全问题。
1.2 MPLS协议
MPLS技术是将第二层交换和第三层路由相结合的集成数据传输技术。在体系结构上可以分为两个独立的部件:控制层面和转发层面。控制层面用于在标签交换路由器(LSR)间创建、分发和维护标签转发信息,建立标签转发路径(LSP);转发层面根据维护的标签转发数据库和分组携带的标签,执行数据的转发。使用MPLS构建VPN可以实现多LAN之间的互联,如图2所示。
MPLS VPN的数据传输使用两层标签:内层标签和外层标签。内层标签用于标识VPN,外层的标签用于分组在骨干网络中快速转发。入口PE负责向报文添加两层标签,外层标签用于在骨干网中进行交换,代表了从PE到对端PE的一条隧道,VPN可以根据这层标签沿着LSP到达对端PE。内层标签代表了两个CE之间的隧道,对端PE根据内层标签将报文传至对应的CE站点。这样VPN可以共享外层的MPLS隧道,进行分组的传输。MPLSVPN具有以下优点:
1)系统可扩展性好。当有新客户VPN加入时只用修改相应PE的设置,对其它客户VPN和PE设备均没有影响,系统扩展比较方便,即使对于大规模的网络应用初始配置量也比较小。
2)适合于路由VPN类型。该VPN基于服务提供商,适合于组建大规模的VPN网络,支持LANtoLAN的路由VPN类型。
但是,MPLS协议在组网方面还存在如下不足:第一有限的VPN类型支持。它依赖于服务商提供MPLS服务,要求骨干网络支持MPLS协议,对于不支持MPLS协议的网络不适用,不支持拨号VPN类型。第二不具备动态特性。MPLSVPN组网要求手工配置,不支持动态地址接入,不支持VPN设备的动态的加入和退出等动态特性。第三安全性不足。MPLS协议主要依靠PE上的虚拟路由转发表(VRF)进行VPN用户信息的分离,不提供安全机制。目前围绕MPLSVPN的安全性出了多种安全解决方案。它们大多与IPSec结合,借助IPSec协议解决MPLs的机密性、完整性和身份认证等问题。因此,MPLSVPN只注重组网功能,并不具有VPN的安全功能。
1.3 SSL协议
传输层及其以上层的VPN组网协议中,除SSL协议外,还存在一些应用层的隧道协议,如SOCKs协议。基于应用层协议也可以实现相应的隧道封装,一些基于TCP或UDP协议封装的实现方案也可以归结为应用层隧道协议。SSL协议是目前应用比较广泛的VPN组网协议,该协议位于传输层与应用层之间,一般用以保护特定应用协议的安全。SSL(SeeureSoeketLayer)主要由三个协议组成,握手协议、记录协议和警告协议。握手协议类似于IPSec协议族中的IKE协议,用于建立SSL安全隧道;记录协议对保护的数据提供分割、压缩、验证和加密操作;警告协议用于发生传输错误或会话终止时,相互交换警告信息。图3是SSL VPN组网方式。
客户端通过协议转发(端口转发)等技术,实现对多个应用程序的安全保护。该方式在SSLVPN网关与SSL客户端间建立SSL隧道,SSL网关解析SSL客户端发送过来的web请求,并进行协议转换,转发给内网相应的服务器。总的说来,改进方式需要考虑的是如何解决客户端和服务器间的1:m的问题。SSLVPN组网具有以下优点:
1)系统扩展的灵活性好。SSLVPN中有新设备加入时只需要修改网关的配置,对其它的客户端没有影响,系统扩展灵活简便。
2)支持拨号VPN类型。SSL采用客户/服务器访问模式,支持PCtoPC的组网模式,适于远程访问VPN。
3)网络适应较好。SSL协议工作在传输层之上,即使在NAT和防火墙设备的网络环境下也能正常工作。
4)支持接入方式的动态特性。SSLVPN支持以动态地址接入,支持设备的动态加入和退出VPN网络,具有良好的动态特性。
5)普遍适用于广泛的操作系统平台。SSL在应用层实现,不需要开放底层操作系统的接口,几乎可以在所有操作系统上实现,包括一些手持终端的操作系统。
6)提供一定程度的安全性保证。SSL协议能够提供基于证书的强身份认证,提供数据机密性、完整性和简单的数据源认证,并可以提供细粒度的访问控制。
1.4 VPN组网协议比较和组网模式分析
VPN组网模式是VPN组网协议在不同网络环境下的组网应用,不同的VPN协议组网模式不尽相同,同一种协议也具有多种组网模式,这也是目前VPN组网应用呈现多样性的主要原因。目前主要有以下几种VPN组网模式:PCtoPC、PCtoLAN、LANtoLAN以及混合组网模式。
PCtoPC组网模式也称为端一端组网模式。这种VPN组网模式中的安全设备都是安全客户端,所有具有安全通信关系的安全客户端间均建立了安全隧道。各隧道构成了复杂平面网状结构。该模式网络适应性不好,整个VPN网络形成了分散式的网状结构不利于VPN的管理。
PCtoLAN组网模式也称为端一网关组网模式。VPN网络由VPN客户端和一个VPN网关(又称作VPN服务器)组成。整个VPN网络构成了以VPN网关为中心的星型拓扑结构。这种集中式的星形结构,便于VPN管理,可以基于VPN网关进行VPN的集中策略控制和设备管理。
LANtoLAN组网模式也称为网关-网关组网模式。这种组网模式中VPN的安全设备均为VPN网关。所有具有通信关系的VPN网关间建立有安全隧道,各隧道形成类似端-端组网模式的复杂的平面网状结构。该组网模式支持子网一子网的访问模式,但对于远程接入访问支持不够。此外,该组网模式形成的网状拓扑结构不利于VPN管理。
2 VPN应用实例
2.1 基于SSL的北海市气象局VPN网络模式
北海市气象局VPN网络模式包含了上述的三种组网模式,以SSLVPN为主要技术支持,如图4所示。
VPN网络中存在三类隧道:网关-网关隧道、网关-端隧道以及端-端隧道。该组网模式可以适用于各种VPN协议的组网。根据形成的VPN拓扑的不同,可以继续进行划分。在实际的应用环境中,往往是VPN客户端和VPN网关交错组织的混合组网模式。笔者采用的是星型VPN混合组网,这种VPN组网模式存在以下优点:
1)VPN拓扑简单,隧道数量小。每个普通网关只需配置与中心网关的安全策略和隧道数量,与网状结构组网模式相比,VPN组网的配置和维护量大大减少。
2)管理方便。VPN的安全管理控制主要由中心网关集中实施,VPN管理相对简单。
3)可扩展性较好。添加新的设备或增加新用户时,只用修改新设备和中心网关的配置,对其它设备没有影响。
存在的问题是,星型组网模式中中心网关可能成为VPN网络的瓶颈。中心网关是系统的核心,维护了与其它安全设备的隧道、密钥和安全策略,所有安全设备间的通信均要由中心网关来转发,对中心网关的处理能力和网络带宽要求很高。
2.2 应用分析
目前实现VPN的技术包括配置管理技术、隧道技术、协议封装技术和密码技术等。这些技术可以应用在TCP/IP协议的数据链路层、IP层、TCP层和应用层。目前常用的技术包括通用路由封装协议GRE(Ge-neric RoutingEncapsulation)、点对点隧道协议PPTP(Point to PointTunneling Protocol)、第二层隧道协议L2TP(Layer2 TunnelingProtocol)、第二层转发协议L2F(Layer2 Forwarding)和IP安全协议IPSec(IP Security)等。多年来,IPSec协议一直被认为是构建VPN最好的选择。从理论上讲,IPSec协议提供了网络层以上所有协议的安全,但是因为IPSec协议的复杂,使其很难满足构建VPN要求的灵活性和可扩展性。而基于SSL协议的VPN则可满足不同的网络需求。
2.2.1 SSL通信的工作原理
从图5可看出,握手协议负责客户机和服务器之间会话的加密参数的协商。当一个SSL客户机和服务器第一次开始通信时,他们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。记录协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接收方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。密钥更改协议是由一条消息组成,其作用是把未定状态拷贝为当前状态,更新用于当前连接的密钥组。警告协议用于警示在什么时刻发生了错误或者两个主机之间的会话在什么时刻终止。作为应用层协议,SSL使用公钥机制和X.509数字证书技术保护信息传输的机密性和完整性。SSL安全功能组件包括三个部分:认证、加密和完整性校验。
2.2.2 SSLVPN应用通信过程
第1步,SSL客户机连接到SSL服务器,并要求服务器验证身份。第2步,服务器通过发送它的数字证书证明自身的身份。第3步,服务器发出一个请求,对客户端的证书进行验证。第4步,双方协商用于加密的消息加密算法和用于完整性检查的HASH函数。第5步:客户机和服务器生成会话密钥。
通常,为了提高安全性,客户端登录时使用i Key+PIN码双因素认证方式。对服务器端使用标准SSL验证,对客户端使用Md5哈希算法的挑战—响应进行验证。双方验证结束后,所有通信均使用Https协议,保证了从客户端到iGate之间的通信安全。消息传递到iGate,由iGate将其解密后以标准Http协议传递到后端的服务器,从服务器返回的信息,再由iGate加密后传递到客户端。
2.3 SSL VPN实例
北海市气象局VPN服务器端软件安装在Windows Server 2000系统环境里,该软件主要依赖技术是SSL,由该单位员工开发完成,使用过程中需要在注册表上设置更改系统默认的WAN微型端口使用用户的数量值,本系统正式投入业务运行已经有半年,安全性、可靠性、稳定性都非常好,目前是北海市气象局非气象专用网工作主机访问Notes的主要工具软件,同时也是北海市防讯指挥部与北海市气象局业务数据访问的主要工具软件(图6)。
4 结束语
以上讨论的VPN实现方法在基于北海市气象局Internet局域网模拟环境下实际搭建,经测试通过,运行良好。利用VPN软件构建内部VPN,可以不影响内部网络现在的拓扑结构,以最小的投资获取最大的收益。实现了公网和企业内部专用网的安全、有效结合,北海市气象局各种办公主机通过本VPN方法可以非常快捷的在各个地方安全访问气象专用网的自动站要素等各种根据需要的数据,同时也可以非常快捷的在各个地方安全访问气象部门的主要办公系统(NOTES)的各种数据,随着网络安全的重要性的越发突出,相信VPN的应用将更加广泛。
参考文献
[1]TIMOTHY SW.Privacy issues in virtual private networks[J].ComputerCommunications,2004(4):517-521.
[2]DAEMEN J,RIJINDAELRV.The advanced encryption standard[J].Dr.Dobbs'Journa,l2001(3).
[3]HUNTR.Technological infrastructure forPKI and digital certification[J].ComputerCommunications,2001(9):1460-1461.
[4]YONAN J.Openvpn security overview[S].http://www.openvpn.sourceforge.net,2004.
[5]CHARLIEHOSTNER.Openvpn an the SSLVPN Revolution[S].http://www.openvpn.org.2004.
[6]马军锋.SSLVPN技术原理及其应用[J].电信网技术,2005(8):6-8
[7]徐家臻,陈莘萌.基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004(4):586-588.
浅谈虚拟专用网络VPN技术的应用 篇9
随着网络的迅速普及,网络安全问题日益增加。当公司员工的办公场所分布在不同的地域时,迫切需要建立企业的“专用网络”传递内部信息。因此,构建安全的连接通道显得非常重要。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。采用VPN技术,用户之间实际上并不存在用于通信的长途数据线路,不需要建设或租用专线,而是利用某种公用网络的资源动态组成的。适合采用VPN进行网络连接的用户主要有:
1)网络接入位置多,如公司总部和分部之间相互通信、远程教育用户访问内部资源。
2)用户/站点分布范围广,彼此之间的距离远,需要长途电信,甚至国际长途手段联系的用户,如一些跨国公司。
3)对线路保密性和可用性有一定要求的用户,如大企业用户和政府网。
按照实现技术的不同,VPN可分为PPTP (Point-to-Point Tunneling Protocol)、L2TP (Layer 2 Tunneling Protocol)、MPLS (MultiProtocol Label Switch)、IPSec (Internet Protocol Security) 与SSL (Secure Sockets Layer)等。其中,基于MPLS、IPSec和SSL协议的VPN是目前最广泛的三种VPN解决方案。下面分析基于这三种协议的VPN技术的应用。
2 MPLS VPN
MPLS-VPN是指采用MPLS技术在骨干的宽带IP网络上构建企业IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信。以MPLS VPN为主的IP VPN技术在全球的商用大约在2000年开始兴起,在国内运营商中中国网通率先在2000年几乎与世界同步推出该技术,随后其他的运营商纷纷效仿。根据MPLS VPN的应用环境和场合不同,可以分为企业内部虚拟网(Intranet VPN)、企业扩展虚拟网 (Extranet VPN) 、远程访问虚拟网(Access VPN)。
1)内部VPN:内部VPN能实现各内部网络之间的安全互联
2)企业扩展虚拟网:企业扩展虚拟网将若干个企业的Intranet VPN结合起来构成一个大的虚拟企业内部网络。例如企业间发生的收购、兼并或企业的战略联盟,企业可以扩大VPN的覆盖范围。
3)远程访问虚拟网:可以为企业的远程雇员提供与企业的连接。主要用于企业员工或企业的小分支机构通过远程拨号的方式构建的虚拟网。
3 IPSec VPN
IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术, IPSec是IETF (Internet Engineer Task Force) 正在完善的安全标准,IPSec协议是一个范围广泛、开放的虚拟专用网安全协议, 它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec是基于网络层的,不能穿越通常的NAT、防火墙。
IPSec工作于网络层,对终端站点间所有传输数据进行保护。在网络应用中,可将远程客户端“置于”企业内部网,能使远程客户端拥有内部网用户一样的权限和操作能力。IPSec VPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。
SSL VPN用户仅限于运用Web浏览器接入,这对新型基于Web的商务应用软件比较合适,但它限制了非Web应用访问,使得一些文件操作功能难于实现,如文件共享、预定文件备份和自动文件传输。IPSec VPN要求用户不一定要采用Web接入(可以是非Web方式)。一般IT主管利用IPSec VPN实现网络层接入,进行网络管理,是实现多专用网安全连接的最佳选择。
4 SSL VPN
SSL VPN是指采用SSL (Security Socket Layer) 协议来实现远程接入的一种VPN技术。SSL (Secure Sockets Layer) 是由Netscape公司开发的一套Internet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
SSL VPN不像IPSec VPN需要购买和维护远程客户端或软件,远程用户只需借助标准的浏览器连接Internet, 即可访问企业的网络资源。这使得企业员工出差时不必再携带自己的笔记本电脑,仅仅通过一台接入了Internet的计算机就能访问企业资源,这为企业提高了效率也带来了方便。SSL VPN可以为企业提供多种远程访问的服务,下面介绍常用服务。
1)邮件:企业外出的工作人员可以通过SSL VPN建立的安全通道收发邮件,SSL VPN还会将企业内部所有的域名和服务器地址隐藏起来,从而提高企业网络的安全性。
2)内部网的访问:SSL VPN可以让企业员工在任何地方,使用任何一个包含浏览器、连接到Internet的接入设备,实现对内部网的访问。
3)内部网特定资源的访问:SSL VPN是接入企业内部的应用,而不是企业的整个网络。企业可以限制外部网的用户只能访问一个站点中的某些页和文件夹,并且不需要修改安全策略。
5 小结
企业选择VPN时,可根据自己的应用需求,资金投入以及网络环境选择最合适技术工具和服务模式。
参考文献
[1]李红军.主流VPN技术的比较与分析[J].数字技术与应用, 2010 (4) .
VPN技术及应用 篇10
【关键词】MPLS VPN技术;电力数据通信网络;应用
前言
随着经济的不断发展,我国社会对于电力的需求也在日益增加。在这种情况下,电力企业面临着巨大的发展机遇,同时也面临着严峻的挑战。电力数据通信网络作为电力企业管理中的重要组成部分,对于企业发展的影响是不容忽视的,因此,采取合理有效的措施,确保电力数据通信网络的可靠性和有效性,对于电力企业而言,是势在必行的。
一、MPLS VPN技术概述
MPLS VPN技术,是指利用MPLS技术,在骨干的宽带IP网络中,构建企业IP专网,从而实现数据、语音、图像等的跨地域、高效、可靠、安全通信,为用户提供高质量的服务。另外,利用MPLS VPN技术,可以对现有的IP网络进行纵向分解,成为多个逻辑上完全隔离的网络。
MPLS VPN网络主要包括三个组成部分,即CE(Customer Edge Router)、PE(Provider Edge Router)和P(Provider Router)。MPLS VPN网络采用标签交换,一个标签对应一个用户数据流,可以十分方便地实现用户间数据的隔离,利用区分服务体系,也可以轻松解决传统IP网中的QoS问题,MPLS自身提供流量工程的能力,可以实现网络资源的优化配置,对网络故障进行自动快速修复,提高网络的可靠性和可用性。因此,MPLS VPN技术引起了各个行业和领域的广泛关注。
二、电力数据通信网络的现状
电力数据通信网网络承载的业务主要是生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)的应用系统。具体业务包括电力管理信息网络(MIS)、调度管理信息网络(DMIS)、电力负荷管理网络、电力客户服务95598语音视频网络、电力通信监控网络、变电设备在线监测网络、变电站远方视频辅助监控系统、电力通信软交换语音网络、电力通信DCN网等多种业务网络以及将来出现的其他应用。
数据通信网在充分利用现有的通信网络资源,采用IP/MPLS技术将数据通信网在地区延伸,建立涵盖各级电力行政机构、调度单位、营业网点的的数据通信网络,为各级电力机构和单位提供统一的高速网络承载平台,满足电力系统各种业务对语音、视频、数据等综合网络应用的承载需求,将电力数据通信网建设成具有电信级水平的数据网络,完善和提高电力信息网络和信息资源建设,推动电力各种基于IP网络的通信和信息业务的发展,使其成为提高电力系统生产、管理水平,实现资源共享的重要平台以及构筑数字福建电力的重要基础通信设施。
三、MPLS VPN技术在电力数据通信网络中的应用
1.电力数据通信网的设计
数据通信网涉及到地调、运行所和大量的220KV和110KV变电站,为了能够方便地对整个网络管理和提高网络的安全性及对网络进行灵活的扩展,网络按照分层体系进行规划,分为骨干层、汇聚层和接入层,骨干层节点由地调3台路由器组成,汇聚层由主要的220KV变电站组成。接入层由各地的110K V变电站组成。接入层与汇聚层连接结构主要依据其集控站归属关系而定,综合考虑地区光网络、传输网络具体结构,即接入层节点一般直接接入到其所属的汇聚节点,根据传输的具体情况可以接入就近的其他汇聚节点。
2.MPLS VPN的实施
针对电力数据通信网的特点,在对网络进行组网时,可以采用MPLS以及BGP来提供VPN业务,由BGP实现路由寻址,而MPLS则完成数据转发。
(1)VPN协议设计
之前也提到,由MPLS VPN技术组成的网络,包括PE、CE和P三个部分,因此,也可以由此将网络中的路由器分为CE路由器、PE路由器和P路由器。在电力数据通信网络中。骨干层、汇聚层和接入层可以设置为PE,可以將其路由器作为局域网MPLS VPN的接入点,业务交换机则可以设置为CE。以PE路由器作为接入点,其优势是十分明显的,不仅电路可靠性强,不同线路之间互不干扰,而且带宽利用率高、扩展性好,运行维护简单,相比于CE方案,更加合理,更加可靠。在局域网的接入侧,可以利用VLAN透传,将VPN通道延伸至接入交换机,增强网络连接的灵活性和安全性。
(2)MPLS VPN QoS 的实现
数据通信网以链路轻载方式为主、以区分服务(DiffServ) 、快速路由收敛和快速重路由(FRR)等技术为辅实现QoS保证。数据通信网按照4个QoS业务等级设计,其中网络控制流量、语音业务流量和生产管理类VPN采用最高等级的QoS保证,确保中继链路的畅通;视频类流量采用次优先级别的QoS保障、经营管理类业务采用接入视频和尽力而为之间的QoS流量保障,其他的上网流量等都划在尽力而为的普通QoS保障队列中。
四、结语
在当前信息技术和网络技术不断发展的带动下,MPLS VPN在电力数据通信网中的应用日益广泛, MPLS VPN技术可以实现多业务的集成,使得数据通信网可以更好地为电力生产服务,推动我国电力行业的持续健康发展。
参考文献
[1]王新东.MPLS VPN在电力数据通信网中的应用[J].大众用电,2010,(4):26.
[2]陈旻,何尚骏.基于MPLS的BGP-VPLS组网技术在电力数据通信网中的应用[J].电力信息化,2010,8(1):100-104.
[3]史添.MPLSVPN技术在电力数据网络中的应用[J].科技情报开发与经济,2007,17(33):201-202.
[4]田润芙.基于MPLS的VPN在电力通信网中的应用[J].河北建筑工程学院学报,2004,22(2):120-123.